RESUMEN: ¿Qué requisitos deben cumplir los Terceros Receptores de Datos en el marco de las Finanzas Abiertas? La Superintendencia Financiera de Colombia emitió concepto donde detalla las reglas que deben seguir las entidades vigiladas que actúan como Terceros Receptores de Datos (TRD) dentro del marco de las Finanzas Abiertas. Se establece que para cumplir con los requisitos de vinculación, estas entidades deben estar sujetas a las normativas de seguridad de la información y ciberseguridad, tal como lo estipula el Capítulo V, Título IV, Parte I de la Circular Básica Jurídica de la Superintendencia. Este requisito asegura que las entidades, al manejar datos sensibles, cuenten con las medidas de protección adecuadas para evitar vulnerabilidades y ataques informáticos.
En la práctica, las entidades vigiladas que actúan como TRD deben cumplir con los estándares establecidos para la gestión de ciberseguridad, como el uso de sistemas de gestión como ISO 27032 o NIST, y adoptar controles para mitigar riesgos de seguridad en la información. Además, deben implementar mecanismos para identificar y gestionar incidentes de ciberseguridad y realizar un monitoreo continuo de sus plataformas tecnológicas. Estas medidas son fundamentales para garantizar la integridad y confidencialidad de los datos manejados, cumpliendo con las normativas de protección de datos y habeas data, lo que es esencial para la confianza en el sistema financiero digital.
Ver a continuación Concepto Superintendencia Financiera de Colombia sobre: ¿Qué requisitos deben cumplir los Terceros Receptores de Datos en el marco de las Finanzas Abiertas?:
FINANZAS ABIERTAS, COMERCIALIZACIÓN DE TECNOLOGÍA E INFRAESTRUCTURA A TERCEROS
SUPERINTENDENCIA FINANCIERA
Concepto 2024108013-005 del 10 de septiembre de 2024
Síntesis: Es suficiente con que la entidad vigilada que actúe como tercero receptor de datos esté sujeta al cumplimiento de los requerimientos mínimos para la gestión de la seguridad de la información y la ciberseguridad establecidos por la SFC en el Capítulo V, Título IV, Parte I de la Circular Básica Jurídica para que se entiendan acreditados por su parte los requisitos de vinculación previstos en el literal c), numeral 2.1 del Capítulo IX, Título I, Parte I de la citada circular básica, en el marco de las finanzas abiertas.
«… interrogantes sobre (…) la Circular Externa 004 de 2024 en materia de Finanzas Abiertas, particularmente acerca del cumplimiento de los requisitos previstos en el literal c) del numeral 2.1 del Capítulo IX, Título I, Parte I de la Circular Básica Jurídica -C.E. 029 de 2014-, adicionado por la citada circular, por parte de las entidades vigiladas que actúen como terceros receptores de datos -TRD-.
(…)
2. Finanzas abiertas, entidades vigiladas que actúen como Terceros Receptores de Datos:
En atención a los términos de su solicitud, debemos precisar que la SFC en desarrollo de lo establecido en el artículo 2.35.10.1.1 del Decreto Único 2555 de 2010[1], emitió la Circular Externa 004 de 2024 mediante la cual impartió instrucciones relativas a las finanzas abiertas y a la comercialización de tecnologías e infraestructura a terceros y, para el efecto, adicionó el Capítulo IX al Título I de la Parte I de la C.E. 029 de 2014, denominado “Reglas relativas a las finanzas abiertas”.
Es así como, en el numeral 2 del precitado Capítulo, se establecen las reglas que deben seguir las entidades vigiladas por la SFC para la vinculación de TRD en el marco de las finanzas abiertas, entre ellas verificar el cumplimiento por parte de estos de los requerimientos previstos en el literal c) del subnumeral 2.1.
Ahora bien, el citado instructivo señala, en relación con las entidades vigiladas que actúen como TRD, que se entenderán verificados los requisitos señalados en el citado literal c) respecto de aquellas que “estén obligadas a cumplir con las instrucciones en materia de seguridad de la información y ciberseguridad previstas en el Capítulo V del Título IV de la Parte I de la Circular Básica Jurídica”,
De esa manera, según la propia instrucción, es suficiente con que la entidad vigilada que actúe como TRD esté sujeta al cumplimiento de los requerimientos mínimos para la gestión de la seguridad de la información y la ciberseguridad establecidos por la SFC en el referido Capítulo V de la C.E 029 de 2014, para que se entiendan acreditados por parte de esta los requisitos previstos en el mencionado literal c) del Capítulo IX.
Es importante destacar que, entre los requerimientos mínimos para la gestión del riesgo de ciberseguridad, señalados en el citado Capitulo V de la C.E 029 de 2014, se encuentran los siguientes:
3.3. Contar con un sistema de gestión para la ciberseguridad, para lo cual se pueden tomar como referencia el estándar ISO 27032, NIST con sus publicaciones SP800 y SP1800, ISF (Information Security Forum), CIS Critical Security Controls (CSC) o Cobit 5 for Information Security, y sus respectivas actualizaciones.
3.4. Implementar controles para mitigar los riesgos que pudieran afectar la seguridad de información confidencial, en reposo o en tránsito.
4.2.1. Adoptar procedimientos y mecanismos para identificar y analizar los incidentes de ciberseguridad que se presenten.
4.2.2. Gestionar las vulnerabilidades de aquellas plataformas que soporten activos de información críticos y que estén expuestos en el ciberespacio.
4.2.3. Realizar un monitoreo continuo a su plataforma tecnológica con el propósito de identificar comportamientos inusuales que puedan evidenciar ciberataques contra la entidad.
De forma complementaria, corresponde a las entidades vigiladas observar las instrucciones impartidas por este Organismo en materia de seguridad y calidad en los distintos canales de distribución de servicios financieros a través del Capítulo I, Título II, Parte I de la C.E 029 de 2014, entre estas “Almacenar las plantillas biométricas utilizando sistemas de tokenización o algoritmos de cifrado fuertes como AES256, RSA, 3DES o superiores” cuando utilicen bases de datos propias (subnumeral 2.3.9.1).
Por último, no está de más anotar que de acuerdo con el mismo Capítulo I, las entidades vigiladas deben realizar una adecuada gestión de los riesgos asociados a la tecnología adoptada, verificar de manera regular la efectividad de los controles implementados y dar cumplimiento a las normas vigentes en materia de protección de datos y habeas data (numeral 1.3, inciso final).
Las instrucciones mencionadas se encuentran disponibles para consulta del público en nuestra página web www.superfinanciera.gov.co enlace Marco Jurídico/Normativa General.
…».
[1] Artículo 2.35.10.1.1 Estándares de la arquitectura financiera abierta. La Superintendencia Financiera de Colombia establecerá los estándares tecnológicos, de seguridad y otros que considere necesarios para el desarrollo de la arquitectura financiera abierta en Colombia, cuya regulación se encuentra en los Títulos 8 y 9 del presente Libro y el Título 4 del Libro 17 de la Parte 2 del presente Decreto. La Superintendencia Financiera de Colombia podrá crear una instancia con la participación del sector privado y otras autoridades para los fines de este artículo.
Puedes encontrar más información sobre: ¿Qué requisitos deben cumplir los Terceros Receptores de Datos en el marco de las Finanzas Abiertas?, en superfinanciera.gov.co
Además del tema relacionado con: ¿Qué requisitos deben cumplir los Terceros Receptores de Datos en el marco de las Finanzas Abiertas?, quizás te interese leer: Comercialización de Tecnología e Infraestructura por Entidades Vigiladas – Concepto 2023018026-013